出典:Wirestock, Inc. via Alamy Stock Photo
中国政府系の高度な持続的脅威(APT)Mustang Panda(別名TA416、Bronze President、Stately Taurus)について知っておくべき2つのことがあるとしたら、第1に戦術、技術、手順(TTP)を頻繁に変更すること、第2に焦点がもっぱら地政学的スパイ行為にあることでしょう。
しかし、Mustang Pandaはその標的から外れ、インドの銀行セクターに照準を定めたようです。
これを最新の発見されたキャンペーンと照らし合わせると、興味深いTTPを採用していない一方で、アメリカと韓国の公共政策関係者に対して一部的に焦点が当たっていますが、主にインドの金融機関を標的としています。相違があるにもかかわらず、Acronisの研究者たちは共有コード、運用パターンなどのおかげで、この一連の活動がMustang Pandaに属していると信じています。
Mustang Pandaの攻撃チェーン
Mustang Pandaが行っているスピアフィッシングは、ある程度説得力のあるものから完全に創意工夫のないものまで幅広い範囲があります。インドの標的に送られたメッセージは基本的なITヘルプデスク問題に偽装しているようですが、研究者たちは犠牲者が受け取った可能性のあるメールやテキストメッセージについての情報を持っていません。
インドでの攻撃を調査する中で、研究者たちはこの脅威行為者がアメリカの政治学者Victor Chaになりすまし、Googleアカウントを運営していることも発見しました。Chaはジョージ・W・ブッシュ行政下での国家安全保障会議(NSC)のアジア担当部長であり、北朝鮮と韓国およびインド太平洋の安全保障全般において今でも非常に影響力のある人物です。脅威行為者たちはChaのヘッドショットと一般的に偽造されたメールアドレス[email protected]を使用して、米国-韓国外交コミュニティと政策関係者に関与する個人を標的にしました。
インド、韓国、または米国では、何らかの方法で犠牲者は悪意のあるファイルを開くように促されました。ファイルを表示すると、典型的な中国のダイナミックリンクライブラリ(DLL)サイドロード攻撃がトリガーされました。Windows レジストリを通じて永続性が確立された後、犠牲者はLotusLiteのバリアント(このMustang Panda内の特定の脅威クラスターによって構築・維持されているバックドア)で報酬を与えられました。これはシェルを確立し、ファイルにアクセスし、スパイ行為のための他のリモート操作を実行するために使用されます。
このLotusLiteの最新バリアントは、サイバーセキュリティ検出ツールをわずかに回避しやすくするための軽微な編集が特徴で、それ以上のものではありません。また、その標的の多くが拠点を置いている地域の正規の銀行ソフトウェアを模倣するために、表面的に偽装されていました。ポップアップウィンドウメッセージと内部コード関数では、プログラムは「HDFC Bank」という名前を使用しており、世界最大の国の最大の民間銀行を指しています。このキャンペーンの韓国とアメリカの標的も、明らかにインド指向のマルウェアを受け取ったようです。
怠け者のTTPがなぜまだ機能するのか
Mustang Pandaの職人技は古いかもしれませんが、その点で独特ではありません。「国家レベルの活動のかなりの部分は、規律を持って実行される単純でよく理解された技術に依存しています」とAcronis Threat Research Unit (TRU)のチームリーダーであるSantiago Pontiroliは述べています。「高度なまたは新規の脅威にのみ焦点を当てる組織は、正にこのようなキャンペーンにさらされるリスクがあります。」
グループの明らかな怠慢は理解できると彼は主張しています。「正式なセキュリティプログラムを備えた環境でさえ、基本的なコントロールがしばしば一貫性なく実装されているため、これらの技術は存在し続けています。地理的関係なく、ほとんどの組織は依然として基本に苦労しています:エンドポイント活動への可視性の維持、署名のない、または不適切にロードされたDLLの監視、および正規の署名済みバイナリの悪用検出。」
注目に値しない新しいツールと技術への投資を少なくすることは、短期的には時間と労力を節約するだけでなく、脅威行為者により長期的な柔軟性を与えます。「開発オーバーヘッドを削減し、ツールを使い捨てにします。キャンペーンが公開されると、マイナーなインジケータを回転させ、おとりを入れ替え、迅速に再配置できます。彼らは必要がないため、洗練さに投資していません」とPontiroliは説明しています。
中国がインドの銀行をスパイ
韓国政策関連の標的設定はより得意な分野ですが、インドの金融セクターに対するMustang Pandaの攻撃も、ほぼ確実に金銭的利益ではなく情報収集に動機付けられています。
Pontiroliは「認証情報の収集や支払いのインターセプトなど、銀行マルウェアに通常関連する機能を持つLotusLiteの機能は観察されませんでした。したがって、問題は『なぜ盗難目的で銀行を標的にするのか?』ではなく、『なぜインテリジェンス目的で標的にするのか?』です」と述べています。
その質問に対して、彼は「インドの銀行セクター、特にHDFC Bankのような機関は、複数の戦略的インテリジェンス利益の交差点に位置しています。金融機関は国境を越えた取引、政府関連アカウント、インフラ融資、および貿易フローへの可視性を有しており、これらはすべて国家と関連した行為者にとって価値があります。このタイプのデータへのアクセスは、資本移動、経済関係、および内部政策方向に関する洞察を提供できます」と答えています。
彼は「重要インフラのマッピングや従来の政府および外交的標的を超えた収集の拡大など、より広い偵察目標をサポートすることもあります」と付け加えています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/chinese-apt-indian-banks-korean-policy
